Среди Android-устройств начало распространяться новое вредоносное приложение под названием System Update. По словам специалистов по кибербезопасности компании Zimperium, шпионское ПО скрывается под видом системных обновлений и позволяет злоумышленникам получать полный контроль над гаджетом жертвы.
System Update нет в магазине приложений Google Play, оно загружается из сторонних источников в составе других программ. После установки вредоносное ПО скрывается и через сервер Firebase позволяет злоумышленникам удалённо управлять устройством.
При этом вирус выдаёт себя за системное обновление от Google. System Update обеспечивает мошенникам доступ к микрофону и камере смартфона, а также собирает такие данные, как сообщения, контакты, информация о гаджете, закладки в браузере и история веб-сёрфинга.
Кроме того, с помощью приложения злоумышленники могут отслеживать местоположение устройства, выполнять поиск документов в памяти гаджета и записывать информацию, которая вводится пользователем с клавиатуры или копируется в буфер обмена. Чтобы не засветиться как программа, которая «ест» много трафика, System Update передаёт изображения в виде эскизов.
В Zimperium считают, что эта вредоносная утилита была частью целевой атаки и на её создание было потрачено много времени и усилий. При этом исследователи не располагают информацией о том, кто создал System Update и на кого приложение нацелено.
© 4pda.ru (29.03.21)
* * * *
Эксперты перечисляют, какие данные может украсть спайварь:
* сообщения в мессенджерах;
* файлы баз данных мессенджера (при наличии root-прав);
* закладки по умолчанию и историю поисков в браузере;
* закладки и историю поиска в Google Chrome, Mozilla Firefox и браузере Samsung;
* файлы с определенными расширениями (включая .pdf, .doc, .docx, и .xls, .xlsx);
* данные из буфера обмена;
* содержимое уведомлений;
* список установленных приложений;
* изображения и видео;
* данные о местоположении по GPS;
* SMS-сообщения;
* телефонные контакты;
* журналы вызовов;
* информация об устройстве (например, установленные приложения, имя устройства, статистика хранилища).
Причем малварь будет воровать только превью видео и изображений, тем самым уменьшая расход трафика, чтобы не привлекать внимание пользователя к фоновой активности.
Помимо этого, как было сказано выше, вредонос может записывать аудио, телефонные разговоры жертвы, а также время от времени делать снимки через фронтальную или заднюю камеру девайса.
Отчет Zimperium гласит, что после установки малварь отправляет на свой управляющий сервер Firebase различные данные, включая статистику хранилища, данные о типе подключения к интернету и наличии различных приложений, таких как WhatsApp. При этом Firebase используется только для передачи команд, а отдельный C&C-сервер для сбора украденных данных (с помощью POST-запросов).
Данные спайварь собирает напрямую, если имеет root-доступ, или использует Accessibility Services, обманом заставив жертву включить эту функцию на скомпрометированном устройстве.
© xakep.ru (29.03.21)
*
Для тех кто ни чего не понял!
Если у вас в телефоне вышла такая вот картинка:
Смотрим и сравниваем
№ 1 - Буква G как написана и какого цвета, стиль и оформление
№ 2 - Написано по английски System Update
Если такое видите - НЕ обновляйте!
Так же может выйти уведомление о запросе полного доступа к устройству от System Update
- Этого делать не нужно!, выбрать "Отказ / отмена"
Всё!
*
New Android malware spies on you
while posing as a System Update: www.bleepingcomputer.com (27.03.21)
Как root-права и альтернативные прошивки
делают ваш Android смартфон уязвимым: habr.com (07.02.21)
_
1 038
